К чему привязыватся при допущении ошибки в IPTABLES?

Question

[gremlintv2]

Каждый рано или поздно сталкивается с человеческим фактором (проще говоря "когда руки не из того места растут")
При допущении ошибки в конфиге ее можно легко пофиксить поправив конфиг повторно.
Но в случае с iptables все не так просто, потому что, при копировании конфига можно легко потерять доступ (элементарная ошибка в названии интерфейса или ip сервера итд итп)

К чему я веду:
Есть вариант написать bash скрипт который позволит привязываться к какому, то тригеру при потери связи с сервером.

Логика такая:
Запускаеться bash скрипт с правилами iptables
1) сразу после запуска бэкапиться предыдущий конфиг:
iptables-save>iptables-rules-old
2) применяется новая цепочка правил и выполняется тригер
3) проверяется тригер.
Варианты тригера пока вижу следующие:

а)

создать файл и
если он не удален на протяжении 1минуты:
iptables-restore<iptables-rules-old
если удален:
iptables-save>iptables-rules-old

б)

проверять существует ли подключение к серверу по ssh порту (но это не надежно)

в)

оставлять себе любимому лазейку на ssh порт через дополнительный скрипт и по истечении 5ти минут удалять ее

Какие еще есть варианты?

Comments

[Strabbo]

Если не используете Ipv6, то можно начать использовать его только для менеджемнта, а в iptables конфигить только v4, если потеряется связть по в4, то зайдете на сервер с помощью в6. Звучит странно, но многие проделывают такое. я раньше тоже так делал.

[gremlintv2]

Strabbo, большое спасибо, прийму ко вниманию данный способ ;)

Answer 1

[Karpion]

Допустим, у нас есть заведомо годный рабочий_конфиг и экспериментальный_конфиг сомнительной работоспособности. Дальше делаем примерно так:

( sleep 5 минут ; применить рабочий_конфиг ) & # в асинхронном режиме (через амперсенд) запустить резидентную программу (форк шелла), которая поспит 5 минут и применит рабочий конфиг
применить экспериментальный_конфиг

У Вас есть пять минут на тестирование.

Но надо убедиться, что при отваливании терминала резидент не помрёт от сигхапа. Так что надо бы применить программу nohup.

Почитайте доки по ipfw - там эта тема разобрана. Собственно, я свой ответ строил на том, что запомнил именно оттуда.

Comments

[gremlintv2]

Спасибо. Т.е. в идеале команда должна выглядеть следующим образом:

nohup $(sleep 300; /home/user/fw-prod.sh) & 
/home/user/fw-dev.sh

Так?

[Karpion]

Ну, учитывая, что я не знаю, какой файл что делает, а могу только догадываться - то, видимо, так.
Вот только доллар там какой-то лишний. nohup хочет в качестве аргументов команду, а не результат её работы.
Возможно, содержимое скобок надо запихнуть в отдельный скрипт.

На всякий случай проверьте мою гипотезу, имея физической доступ к консоли. Т.е. запилите в fw-dev.sh что-то типа "deny from any to any" и запустите - обязательно по сети. Убедитесь, что доступ к системе по сети - пропал. Время сна для этого эксперимента поставьте поменьше.